エンタープライズ:第5回 Tripwireを運用するときの注意点 (3/4)
第5回 Tripwireを運用するときの注意点 (3/4) rootkitの検出について なんらかの方法で侵入に成功したクラッカーは、その痕跡を消そうとしたり、再度侵入するためのバックドアを設置するなど、存在を知られないためにコマンドファイルをすり替える。例を挙げれば「ps」、「netstat」、「ls」などのコマンドファイルがそれにあたる。実際には、こういった改ざんされたコマンドファイルを、侵入に成功した際に1つ1つ入れ替えるのではなく、それらのツールやバックドアなどをひとつにまとめ、侵入時にはすぐに使えるようなキットを用いて改ざんすることが多い。このようなものは「rootkit」と呼ばれている。rootkitについての概要や、検出方法については機会を改めて解説する予定だが、興味のある方は下記のリンクを参照していただきたい。 ここでは仮に2つのタイプのrootkitがあるとしよう。単純に
改ざん検知と脆弱性診断ソフトウェア|トリップワイヤ・ジャパン株式会社
デジタル世界のインテグリティを守る 優れたセキュリティ機能と継続的なコンプライアンスによりオンサイト及びクラウドで脅威を検知し、無力化します。 デモを予約する 製品を見る Tripwire は、Fortra の包括的サイバーセキュリティポートフォリオの一部であることを誇りに思っております。Fortraは、革新的な方法で問題を解決するため、補完的な製品を組み合わせ、今日の複雑なサイバーセキュリティの状況を簡素化します。これらの統合されたスケーラブルソリューションは、組織を守る上で直面する変化の激しい課題に対応します。Fortraは、Tripwireをはじめとする強力なプロテクションを利用して、サイバーセキュリティの旅路のあらゆる段階において、お客様の味方となります。
zabbixでCPU使用率やDISK使用量 メモリ使用量などの過去データ(ヒストリ)をCSV形式にてファイル出力する方法 - 山梨スズメバチ駆除センター 業務ブログの複製
zabbixにて過去のグラフのデータを取得する場合は、 1.「監視データ」から「最新データ」で"最新のデータ"を表示 2.右上のドロップダウンから「値」を選択 3.横にある「プレーンテキスト」ボタンを押す。 4.結果をコピーしてexcelに貼り付け といった方法にて実施できます。 ですが、この方法だと1000件までしか表示できません。 1000件以上、表示したい場合は、以下の方法があります。 1..telnetなどで、zabbixサーバに、mysqlコマンドを利用できるユーザーで接続。 2..CSVデータ取得対象のホストのホストID(5ケタの数字)を調査します。以下のコマンドで調査します。 # mysql --user=(zabbixユーザ名) --password=(zabbixパスワード) (zabbixデータベース名) -e "select hostid,host from host
日本語アラートメールの送信方法 | 日本Zabbixユーザー会
ZabbixサーバはアラーとメールをUTF-8で送信します。最近のメールクライアントではUTF-8のメールも問題なく扱えますが、古い携帯電話などはUTF-8のメールを適切に表示できずに文字化けしてしまう場合があります。 また、ZabbixサーバはSMTP Auth認証に対応していないため、標準のメール送信機能では認証が必要なメールサーバを利用することができません。 ここでは、ZABBIXのカスタムスクリプト機能を利用して、スクリプトで適切な情報の付加とエンコード処理を行ってメールを送信したり、SNMP Auth認証に対応するためのスクリプトを紹介します。 なお、スクリプトを利用した場合はZabbixサーバがメール送信のたびに外部コマンドとしてスクリプトを呼び出して実行するため、標準のメール送信機能よりは実行に負荷がかかります。特に文字化けなどの問題がない場合はZabbixサーバ標準のメール
Zabbix Sender によるバッチ処理結果の監視 | Tricorn Tech Labs
以下、それぞれの比較についての説明です。 1. 監視ホスト名の任意設定 ZabSender の場合、バッチ処理実行ホストから情報を送った場合であっても、その情報を登録する先の監視ホスト名を別のもの (例えば日次バックアップなどであればバックアップ対象のホスト名) にすることが可能です。上図の例で言えば zabbix_sender コマンドを実行するのが bk というサーバであっても、バッチ処理成否を登録する監視ホストを web や mail に指定可能 ということですね(下図)。 一方 Zabbix Agent を用いる UserParam 1,2 の場合は監視ホスト名はバッチ処理実行ホストに固定されるため、アイテムやトリガーに個別に対象ホスト名を付与するなどの工夫が必要となります(下図)。 アイテム名を共通化できた方がテンプレート化も容易であり、管理上は ZabSender の方が便利と
JobSchedulerで実行したJobをZabbixで監視する② - Tech-Sketch
前回の記事 でJobSchedulerの使い方をご紹介しました。今回は前の記事で簡単に触れたJobSchedulerのAPIを使ってZabbixでJob実行時間(elapse time)を監視する方法の紹介をしたいと思います。 Jobの実行時間を監視したいケースとしてはDBバックアップJobなど、Job稼働時間が日々変動するケースが考えられます。例えば、最初は数分で完了していたDBバックアップ処理が容量増加に伴い、いつの間にか数十分/数時間になっていた、という場合に何かしら監視の仕組みがなければ気付けないでしょう。場合によってはデータ末梢を検討する必要があるかもしれません。 では、実際にJobSchedulerで稼働したJobの実行時間を監視する方法について記載します。 JobSchedulerとZabbix連携の全体像 JobSchedulerとZabbixを下記の構成で連携させます。
proc.numキー使用でのプロセス監視不能について | 日本Zabbixユーザー会
いつもお世話になっております。 proc.numキーを使用して監視対象サーバから値を取得し、LAST値を使ってトリガー判定しています。 nfsのrpciodだけプロセスが起動しているにもかかわらず取得値(0)が返ってきてしまうことに悩まされています。 同様に設定してあるアイテム設定では正常に値が取れており、proc.numの第4引数(cmdline)の文字列を変更すると更に取得値が代わり内部的にどのように動作しているのか理解できず困っています。 環境詳細 監視サーバ zabbix1.8 centOS6.1 アイテム proc.num[,"root","all","rpciod"] トリガー {hostname:proc.num[,"root","all","rpciod"].last(0)}<1 コマンド zabbix_get -s {hostname} -k "proc.num[,"ro
zabbixでファイルの存在確認を監視 - ike-dai's blog
ファイルが日次で正しく作成されているかどうかを確認する設定。 system.run[コマンド]で 指定したコマンドを監視対象のサーバに実行させた結果を取得することが可能。 例:system.run["ls -l /home/hoge/`date +%Y-%m-%d`.log"] これで/home/hoge/2011-01-13.logのようなファイルが作成されていることを検知できる。 ファイルの数だけでよいなら上記コマンドの後ろに「|wc -l」などを追加して数を取得できるようにする。 コマンドの出力結果はテキスト形式でも取得可能である。 監視アイテム登録時にデータ型を正しく指定する必要がある。 データ型に「文字列」を指定した場合、取得できる文字数は255文字までであるので注意が必要。 長い文字列の取得が必要な場合は「テキスト」を指定する。 決まったファイル名の存在の有無をチェックする場合
Zabbixがうまく動かないときに参考になる情報
Linux/OSS関連のエンジニアです。OSS監視ツールZabbixの日本支社、Zabbix Japanの代表も務めています。 Zabbixがうまく動かない!というときに原因を調べる方法や参考になるサイトや資料、本家にバグ報告を行う方法までをまとめてみました。こういった情報はあまりまとまったものがないので、思ったように動かない、パフォーマンスが出ない、他の人はどうしてるんだろう?、バグのような気がするんだけど…という時に参考にして頂ければと思います。 Googleなどを使ってネットを検索する オープンソースのソフトウェアの場合は最も一般的な方法です。IT系のサイトの記事や個人のブログなどで問題の解決方法が書かれている場合もあるので、うまく検索にヒットする場合は解決策が見つかる可能性が高いと思います。 ただ、Zabbixの場合はZabbix SIAやZABBIX-JPのサイトに情報が集中して
ログ監視のステータス変更方法について | 日本Zabbixユーザー会
お世話になります。以下の環境においてZABBIXでのログ監視の設定を行っています。 ========================================================= ZABBIXのバージョン:1.6.8 ZABBIXサーバーのOS:2.6.18-128.7AXS3(asianLinux) アイテム:log[/tmp/test.log,error] トリガー:{hostname:log[/tmp/test.log,error].str(error)}=1 ========================================================= 上記の設定では、一度ログファイルに「error」という文字列が出力されるとトリガーのステータスが「障害」となり、 その後、ログファイルに新たにログが出力されてもステータスが「障害」のまま変わら
正規表現の文字クラスまとめ - 名もないテクノ手
先日、Yuji@勉強部屋さんと電話で話していて、文字クラスの理解が正規表現の「一里塚」だなぁ、と感じました。InDesignで初めて正規表現に接する方も多く、戸惑われている人もいらっしゃると思います。 文字クラスは正規表現の中でもちょっと特別な存在です。文字クラス内だけで使えるメタ文字や、位置によって意味が変わるメタ文字もあります。文字クラスについては、日頃使い慣れた人でも間違えやすい部分もあり、結構奥が深いのでおさらいの意味も込めてまとめておきます。 文字クラスの基本 ここで言う「文字クラス」は、「POSIXブラケット表現」とも呼ばれます。違うサイトや書籍などで、これらの用語が混在することがありますが、ほぼ同じと考えて差し支えありません*1。 文字クラスは任意の1文字にマッチする「文字集合」を表現できます。 簡単な例から見てみましょう。たとえば「お母さん」と「お父さん」のどちらにもマッチ
ログ監視の除外リストの設定 | 日本Zabbixユーザー会
お世話になっております。 イベントログ監視にて、重要度がエラーまたは警告の メッセージについては障害として検知する設定としています。 重要度がエラーまたは警告のメッセージですが、 ある特定の文字列が含まれる場合は、障害として 検知させないようにしたいと考えています。 過去ログを見たところ、[管理] -> [一般設定]から「正規表現」の 機能を利用すれば対応可能なことがわかりましたが、この正規表現の登録について質問があります。 障害として検知させたくない文字列を含むイベントログの 種類が複数ある場合、例えば10種類ある場合、正規表現は 10個登録する必要があるのでしょうか? ‹ snmptrapの設定について 監視設定内容の履歴管理 ›
監視テンプレート | 日本Zabbixユーザー会
Zabbixはアイテム、トリガー、グラフの設定をテンプレートとして管理し、テンプレートをホストに適用することで監視設定を容易に管理することができます。 テンプレートはXML形式のファイルでエクスポート/インポートすることができるようになっているため、バックアップの取得や他のZabbixサーバへの再利用したり、インターネット上で公開されているテンプレートを利用して設定を簡略化することができます。 ここではインターネット上で公開されているテンプレートやテンプレートに関連する情報をまとめています。 Zabbix SIAのテンプレートページ Zabbix SIAのWIki上でネットワーク機器、OS、アプリケーションの様々なテンプレートが公開されています。 Zabbix Templates ZABBIX-JPのテンプレート ZABBIX-JPではいくつかのOSとアプリケーション用のテンプレートを公開
ログ監視によるキーワードの除外について | 日本Zabbixユーザー会
こんにちは halと申します。 今回ログ監視で特定のキーワードが含まれているログなら障害になるが特定のキードに何か別のキーワードが含まれているログなら障害にならないという設定をしたいと思っております。 今考えてる設定方法としては まず、アイテムのフィルタで特定のキーワードが含まれているログだけを拾いそこからトリガーで別のキーワードを除外するという方法を考えております。 例:{zabbix-agent:log[/tmp/messages,ERROR,,].regexp(OK)}=0 というトリガーを設定しようと思っているんですが除外のキーワードを増やす場合 例:{zabbix-agent:log[/tmp/messages,ERROR,,].regexp(OK|A|B)}=0 という風に|でつなぐ方法があると思うのですが、現在除外するキワードの内容が長く、多いため一つのトリガーにするのが難し
Zabbixでログ監視除外メッセージを登録する - 技術メモ + α
ホワイトリストがあるわけではないので、 トリガーの条件式でどうにかするしかないらしい。 Zabbix2.0.4を使用。1.8でもできるんじゃね? 例)/var/log/messages でerror文字列が検出されたらアラート上げたい。でもntpdのエラーは無視したい。 アイテムの設定 フツーにこんな感じで。 log[/var/log/messages] トリガーの条件式 log[/var/log/messages].iregexp[error] = 1 & log[/var/log/messages].regexp[ntpd] = 0 例えば、ntpd以外にsnmpdのメッセージも除外したい場合は以下のようになる log[/var/log/messages].iregexp[error] = 1 & log[/var/log/messages].regexp[ntpd|snmpd] =
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
イベントログの文字列しきい値監視について | 日本Zabbixユーザー会
過去データ(ヒストリ)をCSV形式で出力する方法について | 日本Zabbixユーザー会
メールのタイトルの文字化け | 日本Zabbixユーザー会
正規表現設定について(1.8.2) | 日本Zabbixユーザー会
正規表現・ワイルドカード